AWS - Enumeração do Secrets Manager

Reading time: 3 minutes

AWS Secrets Manager

AWS Secrets Manager é projetado para eliminar o uso de segredos codificados em aplicativos substituindo-os por uma chamada de API. Este serviço serve como um repositório centralizado para todos os seus segredos, garantindo que sejam gerenciados de forma uniforme em todos os aplicativos.

O gerenciador simplifica o processo de rotação de segredos, melhorando significativamente a postura de segurança de dados sensíveis, como credenciais de banco de dados. Além disso, segredos como chaves de API podem ser rotacionados automaticamente com a integração de funções lambda.

O acesso aos segredos é rigidamente controlado por meio de políticas detalhadas baseadas em identidade IAM e políticas baseadas em recursos.

Para conceder acesso a segredos a um usuário de uma conta AWS diferente, é necessário:

1. Autorizar o usuário a acessar o segredo.
2. Conceder permissão ao usuário para descriptografar o segredo usando KMS.
3. Modificar a política da chave para permitir que o usuário externo a utilize.

AWS Secrets Manager integra-se com AWS KMS para criptografar seus segredos dentro do AWS Secrets Manager.

Enumeração

aws secretsmanager list-secrets #Get metadata of all secrets
aws secretsmanager list-secret-version-ids --secret-id <secret_name> # Get versions
aws secretsmanager describe-secret --secret-id <secret_name> # Get metadata
aws secretsmanager get-secret-value --secret-id <secret_name> # Get value
aws secretsmanager get-secret-value --secret-id <secret_name> --version-id <version-id> # Get value of a different version
aws secretsmanager get-resource-policy --secret-id --secret-id <secret_name>

Privesc

AWS - Secrets Manager Privesc

Pós Exploração

AWS - Secrets Manager Post Exploitation

Persistência

AWS - Secrets Manager Persistence